Metodología Básica de Análisis Forense – Parte 3 de 4
Continuamos con la tercera parte del articulo sobre la metodología básica para realizar un análisis forense, si no has leído la 2da parte parte, puedes verla aquí.
ANALISIS DE DATOS:
Seguiremos los tres pasos de la anterior figura:
Análisis de Datos de la Red:
Para nuestra investigación nos centraremos en identificar los dispositivos de comunicación y de defensa perimetral (Servidores Web, Firewall, IDS's, IPS's, Proxys, Filtros de Contenido,Analizadores de Red, Servidores de Logs,etc) que están en la Red, con la finalidad de recuperar los logs que se han tomado como parte de la gestión de red.
Análisis de los Datos del Host:
Generalmente se logra con la información obtenida de los sistemas vivos, de la lectura de las Aplicaciones y los Sistemas Operativos. Para nuestro caso, debemos de limitarnos a tratar de recuperar estos archivos de la evidencia en procesos de Data Carving o Recuperación de Datos, y definir criterios adecuados de búsqueda, debido a que lo mas probable es que encontremos una gran cantidad de información que nos puede complicar o facilitar el análisis de datos, dependiendo de nuestros objetivos de búsqueda Posteriormente definiremos a que archivos le realizaremos la búsqueda
Análisis de los Medios de Almacenamiento:
Igual que el punto anterior debemos definir criterios de búsqueda con objetivos claros, debido a la gran cantidad de información disponible, que nos puede desviar la atención o sencillamente complicar el proceso de análisis de la información Tengamos en cuenta las siguientes buenas practicas:
- No olvidemos, que se debe utilizar la copia del segundo original, a su vez el segundo original preservarlo manteniendo un buen uso de la cadena de custodia.
- Determinar si los archivos no tienen algún tipo de cifrado (varias claves del registro no lo pueden determinar).
- Preferiblemente descomprimir los archivos con sistemas de compresión
- Crear una estructura de Directorios y Archivos recuperados.
- Identificar y recuperar los archivos objetivo (determinados por algunos criterios, ejemplo aquellos que han sido afectados por el incidente). Y se puede comparar su hash (archivos del sistema operativo y aplicaciones) con los hash de archivos que nos facilita la http://www.nsrl.nist.gov/,
O sitios como:
http://www.fileformat.info/resolución/web/filespecs/index.htm
http://www.wotsit.org/
http://www.processlibrary.com/
- Analizar archivos de Booteo y configuración del sistema, el registro del sistema
- Información de Login / Logout del sistema, nombres de usuario e información del AD (Directorio Activo)
- Software instalado, actualizaciones y parches.
- Buscar archivos con NTFS ADS (Alterna Data Stream)
10. Estudio de las Metadata (en especial identificar las marcas de tiempo, creación, actualización, acceso, modificación,etc).
11. La evidencia debe ser cargada de solo lectura, para evitar daños o alteraciones sobre las copias del segundo original.